Criptografía

1- Mencione y explique las amenazas a la seguridad:

• Interrupción:
 Parte del sistema queda destruida o no disponible.
 Destrucción hardware:
 corte de una línea de comunicación.
• Intercepción:
 Una entidad no autorizada accede a parte de la información.
 Pinchazo línea telefónica, copia ilícita de ficheros, intercepción vía radio
comunicaciones móviles.
• Modificación:
 Una entidad no autorizada accede a parte de la información y modifica su contenido.
 Alteración de ficheros de datos, alteración, alteración de programas, modificación de
mensajes trasmitidos por la red.
• Fabricación:
 Una entidad no autorizada envía mensajes haciéndose pasar por un usuario legítimo.
Mencione y explique los Servicios de Seguridad

2- Mencione y Explique los Servicios de Seguridad

• Confidencialidad
 Requiere que la información sea accesible únicamente por las entidades autorizadas
(carta lacrada).
• Autenticación
 Requiere una identificación correcta del origen del mensaje, asegurando que la
entidad no es falsa (huellas dactilares).
• Integridad
 Requiere que la información sólo pueda ser modificada por las entidades autorizadas.
La modificación incluye escritura, cambio, borrado, creación, etc… (Tinta indeleble).

3- Mencione los Servicios de Seguridad

• No repudio
– Requiere que ni el emisor ni el receptor del mensaje puedan negar la transmisión (correo
Certificado).

• Control de acceso:
– Requiere que el acceso a la información sea controlado por el sistema destino (llaves y
cerrojos).
4- Mecanismos de Seguridad
• Intercambio de autenticación:
– Corrobora que una entidad, ya sea origen o destino de la información, es la deseada.
• Cifrado
– Garantiza que la información no es inteligible para individuos, entidades o procesos no
autorizados

• Integridad de datos
– Implica el cifrado de una cadena comprimida de datos a transmitir. Esto se envía al receptor
junto con los datos ordinarios. El receptor repite la compresión y el cifrado de los datos y
compara el resultado obtenido con el que le llega, para verificar que no hayan sido
modificados.
 Firma digital
– Cifrado, con una clave secreta del emisor, de una cadena comprimida de datos que se va a
transferir. La firma digital se envía al receptor junto con los datos ordinarios. Se procesa en el
receptor, para verificar su integridad.

• Control de acceso
– Sólo aquellos usuarios autorizados acceden a los recursos del sistema o a la red.

 Tráfico de relleno
Consiste en enviar tráfico redundante junto con los datos válidos para que el enemigo no sepa
si se está enviando información, ni qué cantidad de datos útiles se está transfiriendo.

 Control de encaminamiento
Permite enviar determinada información por determinadas zonas consideradas clasificadas.
Asimismo posibilita solicitar otras rutas, en caso que se detecten persistentes violaciones de
integridad en una ruta determinada.

5- Cuales son las Funciones de un sistema criptográfico:

– Es el encargado de calcular el mensaje cifrado C, a partir del mensaje en claro M y de la
"clave de cifrado"; y de realizar el proceso inverso, el descifrado, y así determinar M a partir
del mensaje cifrado y la "clave de descifrado".

– Claves iguales: Algoritmos simétricos

– Claves diferentes: Algoritmos asimétricos.

6- Que es Criptografía:
Rama inicial de las Matemáticas y en la actualidad también de la Informática y la Telemática,
que hace uso de métodos y técnicas con el objeto principal de cifrar y por tanto proteger de
cifrar, y por tanto proteger, un mensaje o archivo por medio de un algoritmo, usando una o
más claves.

7- Cual es el Primer cifrador por transposición: escítala

La escítala era usada en el siglo V a.d.C. por el pueblo griego de los lacedemonios.

8- Clasificación de los criptosistemas:

A) Según el tratamiento del mensaje, se dividen en:

-Cifrado en bloque (IDEA, AES, RSA*...) 64 ó 128 bits

-Cifrado en flujo (A en flujo (A55, RCRC44, SEAL) cifrado bit a bit

B) Según el tipo de claves, se dividen en:

-Cifrado con clave secreta  Sistemas simétricos
-Cifrado con clave pública  Sistemas asimétricos.

9- Criptosistemas simétricos:
Existirá una única clave (secreta) que deben compartir emisor y receptor.
10- Criptosistemas asimétricos:
Cada usuario crea un par de claves, una privada y otra pública, inversas dentro de un cuerpo
finito.
 10- Tres debilidades en la cifra simétrica.
a) Mala gestión de claves.
b) Mala distribución de claves.
c) No tiene forma digital.

11- Que son los Algoritmos asimétricos:

Son aquellos que emplean una doble clave, es decir, una clave denominada pública y otra clave
privada.

12- Mencione los Protocolos TCP/IP “seguros”

• Protocolos de Red
– Aumentando el protocolo IP: IPSec, que permite Cifrado y autentificación.
• Librerías de programación
– Independientes del protocolo de aplicación: SSL, TLS (sobre los BSD Sockets), que permite
Cifrado y autentificación.
• Pasarelas de Aplicación
– Dependientes del protocolo y la aplicación
• SSH (inicialmente, sobre Telnet) que permite Cifrado y autentificación.
• SOCKS (sobre los BSD Sockets), que permite autentificación y control de acceso localizado en
los cortafuegos.

13- Que es el protocolo SSH:

Secure Shell (SSH), por Tatu Ylonen (1.995) es una línea de comandos segura de la capa de
aplicación; SSH es utilizado como protocolo de conexión desde el exterior del Departamento
de Informática.

GESTION
1. ¿Porque las personas y compañías son completamente vulnerables?
“Porque el Factor Humano es verdaderamente la cadena más débil de la seguridad”
2. ¿Qué es un SGSI (Sistemas de Gestión de la Seguridad de la Información)?
SGSI es un sistema de gestión que comprende la política, la estructura organizativa, los
procedimientos, los procesos y los recursos necesarios para implantar la gestión de la
seguridad de la información.
3. ¿Qué se entiende por seguridad de la información?
Se entiende principalmente por la preservación de las características de
confidencialidad, integridad y disponibilidad de la misma.
4. ¿Fases de implantación de un SGSI?
 Compromiso de la Dirección
 Planificación, fechas, responsables
 Definir los alcances del SGSI
 Definir política de seguridad
 Inventario de activos
 Identificar amenazas y vulnerabilidades:
 Análisis de riesgos
 Selección de controles
 Definir plan de tratamiento de riesgos
 Implantar plan de tratamiento de riesgos
 Formación y concienciación
 Desarrollo del marco normativo necesario
 Gestionar todos los recursos asignados al SGSI
 Revisar el SGSI
 Revisar auditorías internas del SGSI
5. ¿Fases del modelo preventivo?
 Planificar
 Hacer
 Revisar
 Actuar
6. ¿Qué es Certificación ISO27001:2005?
Entidad competente e independiente afirma por escrito una empresa determinada
tiene implementado un Sistema de Gestión de Seguridad de Información acorde al
estándar. Esto asegura la “Calidad en la Gestión de la Seguridad.”
7. ¿Ventajas de Certificación ISO27001:2005?
 Enfoque estructurado basado en riesgos de la seguridad de la información.
 Empleados deben tomar en serio la seguridad. Penalidades por no cumplimiento.
 Sus clientes confiarán más en su empresa.
8. ¿Ventajas Certificación BS7799?
 Compañías extranjeras estarán más confiadas a realizar acuerdos de negocios.
 La organización pudiera negociar mejores condiciones con compañías
reaseguradoras.
 Puede utilizarlo como un diferenciador y sacar ventaja competitiva.
9. ¿Factores Claves de Éxito en la Implementación de un SGSI?
 Política de seguridad documentada y alineada con los objetivos del negocio.
 Apoyo y participación visible de la alta gerencia.
 Entendimiento de los requerimientos de seguridad evaluación y gestión de los
seguridad, evaluación y gestión de los riesgos asociados.
 Compatibilidad con la cultura organizacional.
 Entrenamiento y educación.